VDS отправляет спам?

Question

[neskin]

Сегодня VDS на hetzner стал вести себя странно, начали приходит письма abuse с жалобами на спам от техподдержки, а команда top выдает такую картину:

Comments

[neskin]

Как определить какой скрипт запускает ssh с такой длительностью?

Answer 1

[Пума Тайланд]

Вас ломанули, берите новый впс и конфигурьте все с нуля, я бы не рисковал оставлять впс, где злоумышленник получил рута. Слишком уж легко оставить с такими правами маленький привет в системе, а без сравнения всех файлов с оригиналами такой привет не найти.

Answer 2

[Андрей Буров]

ls -l /proc/<PID>/exe

найдете где лежит этот ssh (скорее всего где-то в /tmp)
затем анализируйте логи и т.п. как он туда попал

а лучше переставить систему, т.к. злодей получил доступ root и неизвестно что и где он мог подменить

Answer 3

[neskin]

Логи пустые в /var/logs/mail.log и другие файлы пустые. Открываю через vi или mcedit, система debian

Answer 4

[Alx]

Логи в /dev/null не перенаправляются ссылкой?
rkhunter есть?

Answer 5

[neskin]

Спасибо, все понятно.